英國(guó)安全廠商Sophos最近發(fā)現(xiàn)了這個(gè)攻擊。這種攻擊瞄準(zhǔn)的是網(wǎng)站的DNS記錄���,向其添加一個(gè)子域�����,讓用戶鏈接到惡意IP地址�����。“這使攻擊者能夠在攻擊中利用看似合法的URL��,以幫助逃避安全過濾���,并讓用戶認(rèn)為這是安全網(wǎng)站,”Sophos主要病毒研究員Fraser Howard表示�����,“合法主機(jī)域名解析到合法IP地址����,而添加的子域名則解析到惡意服務(wù)器�。”
專家稱����,黑客并沒有使用復(fù)雜的技術(shù)。該攻擊者使用偷來的登錄賬號(hào)來進(jìn)入受害者的Go Daddy賬戶管理控制臺(tái)�,在這里,攻擊者可以修改DNS設(shè)置�。這種攻擊屬于常見的攻擊技術(shù)之一,即欺騙用戶��,讓用戶相信他們?cè)谠L問合法網(wǎng)站����。DNS攻擊很常見,已經(jīng)被使用多年���,這種攻擊主要針對(duì)各種配置漏洞和協(xié)議錯(cuò)誤�����。最廣為人知的是DNS緩存中毒�,該攻擊技術(shù)通過使用其他流氓地址來替代互聯(lián)網(wǎng)地址��,以破壞互聯(lián)網(wǎng)服務(wù)器的域名系統(tǒng)表。
Go Daddy:這并不是漏洞問題
Go Daddy公司的信息安全業(yè)務(wù)主管Scott Gerlach表示����, Go Daddy在過去幾個(gè)月一直在處理這個(gè)問題。該公司正在刪除受影響網(wǎng)站的惡意DNS條目以及重置客戶密碼��。在記者采訪中��,已有約100個(gè)網(wǎng)站受到影響�,他敦促客戶考慮使用更高強(qiáng)度的密碼�����。
“經(jīng)我們證實(shí)�����,DNS系統(tǒng)中沒有漏洞被利用來進(jìn)行這個(gè)攻擊�,”Gerlach表示,“DNS沒有被攻擊���,我們的系統(tǒng)也沒有被攻擊����,這些攻擊者利用的是偷來的用戶登錄賬號(hào)。”
Gerlach表示�����,DNS問題是安全團(tuán)隊(duì)面對(duì)的最少的問題�����。拒絕服務(wù)攻擊則是一種常見問題�����,其次是過時(shí)的第三方內(nèi)容管理系統(tǒng)平臺(tái)(例如Wordpress和Jumilla)中的漏洞問題��。攻擊者利用這些平臺(tái)的漏洞��,注入惡意代碼建立路過式攻擊網(wǎng)站���。
暴力破解密碼攻擊和網(wǎng)絡(luò)釣魚欺騙是長(zhǎng)期存在的問題�。用戶可以設(shè)置高強(qiáng)度密碼和啟用雙因素身份驗(yàn)證�,來降低受到這種攻擊的風(fēng)險(xiǎn)。在用戶試圖登錄托管賬戶時(shí)�����,Go Daddy的兩步驗(yàn)證會(huì)通過短信向用戶發(fā)送驗(yàn)證碼。然而��,目前兩步驗(yàn)證法僅對(duì)加拿大和美國(guó)的用戶可用����。Go Daddy正計(jì)劃在全球范圍內(nèi)推廣該服務(wù)。
Go Daddy的事件響應(yīng)小組推測(cè)���,這個(gè)攻擊的來源可能是Cool Exploit Kit,這是一個(gè)自動(dòng)攻擊工具包�����,主要用于傳播勒索軟件���。Go Daddy表示�����,受感染客戶很有可能被這種工具包傳播的惡意軟件竊取了登錄賬號(hào)或者感染了計(jì)算機(jī)����。
Sophos公司的Howard表示����,勒索軟件似乎是專門發(fā)送到受害者的具體位置��。用戶收到自稱是來自FBI的假消息����,稱其計(jì)算機(jī)的IP地址被連接到兒童色情網(wǎng)站��,只有用戶支付贖金��,其電腦才會(huì)被解除鎖定��。
Cool Exploit Kit針對(duì)各種漏洞(包括Java錯(cuò)誤)��,它通過路過式攻擊網(wǎng)站來傳播。Howard表示:“流氓服務(wù)器在運(yùn)行一個(gè)自稱是‘Cool EK’的漏洞利用工具包���,從登陸頁(yè)面的管理面板來看�����,該工具包來自于俄羅斯�����。”
